十大AWS安全秘訣:第八條 加密敏感資料

作者:Mark Nunnikhoven

今天我們要討論有關加密的部分。

資料推動你的業務

你的業務是基於資料和資訊而運作的。前進公共雲最大的擔憂之一就是資料的安全性。只要做點盡職調查(due diligence),你可以讓這些擔憂消失不見。

有三個關鍵步驟可以保護你在雲端中的資料:

  1. 識別和分類你的資料
  2. 保護存放中的資料
  3. 保護移動中的資料

識別和分類

在你確認自己有哪些資料,哪些對自己和客戶有價值,它們在哪裡儲存和處理之前,你沒有辦法採取有效的措施來保護你的資料。

檢查你的網路,你儲存了什麼類型的客戶資料?哪些是讓你具備競爭優勢的知識產權?還有可存取系統的身份憑證?

開始清查你的資料。

現在開始進行盤點,試著去找出資料的優先順序。它對你的客戶有多重要?對你的業務運作?你的聲譽?你不需要找出資料的準確價值,只要有什麼對你的業務是重要的粗略想法。

一旦你有了這份清單,查出在哪裡如何的儲存這些資料,在哪裡進行處理。這些是你首要專注安全性的地方。

保護存放中的資料

你要怎麼保護存放中的資料,很大程度取決於你儲存在哪裡。如果你將資料儲存成硬碟上的檔案,你可以加密整個硬碟或加密檔案。如果你將資料儲存在資料庫,你可以加密整個資料庫或加密數值。

無論是在檔案或資料庫,你都必須徹底做到:

  1. 加密底層儲存,一切就會自動加密
  2. 加密儲存的任何一段資料

從實用性的角度來看,可以不需要去擔心加密的日常運作就越好。所以通常解決方案會使用底層儲存加密。不過這也可能會對你的部署造成性能上的損失。

一個提供給S3使用者的建議,可以使用S3伺服器端加密或AWS的信封加密(envelope encryption)功能來幫助加密資料。

無論你選擇哪種解決方案,重要的是要測試你的選擇,確保符合你對安全和性能的要求。

保護移動中的資料

保護你存放中的資料會牽涉到性能測試和困難的決定,不過保護移動中的資料則不會。你的整個部署都要用加密的通訊通道。

透過來自可信賴第三方的憑證,用SSL/TLS加密所有的HTTP流量(會多個S,變成HTTPS)。如果你的部署並非使用HTTP作為傳輸協定,就要找到對應你所使用協定的加密方式。

加密通訊通道對於效能的影響可以忽略不計。沒有理由不使用加密傳輸。

保護你無所不在的資料

加密雖然是個棘手的問題,不過沒必要被嚇倒。盤點你的資料,依價值區分優先性。對所有的資料都使用適當的加密方式,確認你部署的所有通訊都有加密。

這些簡單的步驟將大大增加你存放或移動中資料的安全性。

@原文出處:Top 10 AWS Security Tips: #8 Encrypt Sensitive Data

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

五個給小型企業關於雲端運算的迷思與事實

《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構

八個令人無法苟同的雲端迷思

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

小型企業的雲端之路,到頭來還是回到原點

超神準的算命大師如何用雲端展開讀心術?!(影片)

保護您邁向雲端之路的 10 個步驟

巨量資料分析和主動式雲端截毒技術

關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)

虛擬化的無代理防護也適用於雲端嗎?

會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)

Cirsis/MORCUT 惡意軟體掛載虛擬機器

《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo

《趨勢專家談雲端運算》墮入虛擬化相關威脅的深淵

◎ 歡迎加入趨勢科技社群網站